Les acteurs malveillants cherchent constamment des méthodes pour contourner la sécurité dans le but d'en tirer profit personnellement. À cette fin, beaucoup d'entre eux concentrent leurs efforts sur le processus d'authentification dans les protocoles de sécurité des réseaux. C'est en falsifiant ou en modifiant les identifiants pour leur propre usage que les cyberattaquants parviennent à obtenir un accès aux informations confidentielles de l'entreprise.
L'une des méthodes permettant d'obtenir cette authentification consiste en une attaque par Silver Ticket. Semblable à une attaque par Golden Ticket, une attaque par Silver Ticket compromet les identifiants en exploitant les vulnérabilités du protocole Kerberos. La prévention et la réponse à ce type d'attaque sont des mesures de sécurité que toute entreprise se doit d'entreprendre.
Qu'est-ce qu'une attaque par Silver Ticket ?
Dans le contexte de la cybersécurité, un ticket est un numéro généré par un serveur réseau afin de servir de preuve d'authentification ou d'autorisation. Ce type d'attaque se fait par l'intermédiaire d'un ticket d'authentification contrefait souvent créé lorsqu'un cyberattaquant vole le mot de passe d'un compte. Les attaques par Silver Ticket utilisent cette authentification pour falsifier les tickets du service d'émission de tickets. Un ticket de service falsifié est chiffré et permet l'accès aux ressources pour le service spécifique ciblé par l'attaque Silver Ticket.
Ce que toutes ces attaques utilisant un Silver Ticket ont en commun avec d'autres méthodes similaires, c'est qu'elles tirent volontiers parti des vulnérabilités du protocole Kerberos. C'est ce qu'on appelle le Kerberoasting, qui consiste à obtenir les hachages des mots de passe des comptes d'utilisateurs Microsoft Active Directory en exploitant Kerberos, un protocole de sécurité réseau qui authentifie les demandes de service à l'aide d'un chiffrement à clé secrète. Outre l'attaque par Silver Ticket, les attaques par Golden Ticket et Diamond Ticket exploitent également cette faille de sécurité.
L'attaque par Diamond Ticket consiste à déchiffrer puis à rechiffrer un ticket authentique, offrant ainsi au cyberattaquant la possibilité d'utiliser le ticket en question.Une attaque par Golden Ticket donne au cyberattaquant un accès complet au domaine cible. Les Silver Tickets sont une utilisation plus ciblée, mais demeurent un instrument dangereux entre les mains des cybercriminels.
Fonctionnement des attaques par Silver Ticket
Pour exécuter une attaque par Silver Ticket, un cyberattaquant doit déjà avoir le contrôle d'une cible compromise dans l'environnement du système. Cette compromission initiale peut prendre la forme d'une cyberattaque ou d'un logiciel malveillant. Lorsque le cyberadversaire a trouvé une entrée, une attaque par Silver Ticket suit un processus méthodique étape par étape pour falsifier les identifiants d'autorisation.
Étape 1. Recueillir des informations sur le domaine et le service local ciblé. Il s'agit ici de découvrir l'identifiant de sécurité du domaine et le nom DNS du service visé par l'attaque.
Étape 2. Utiliser un outil pour obtenir le hachage NTLM local, ou le hachage de mot de passe, pour le service Kerberos. Un hachage NTLM peut être obtenu à partir du compte de service local ou du gestionnaire de compte de sécurité d'un système compromis.
Étape 3. Obtenir le mot de passe non chiffré à partir du hachage NTLM à l'aide de la technique du Kerberoasting.
Étape 4. Falsifier un service d'émission de tickets Kerberos afin que le cyberattaquant puisse s'authentifier auprès du service ciblé.
Étape 5. Utiliser les tickets falsifiés pour obtenir un gain financier ou pour corrompre davantage un système, en fonction de l'objectif du cyberattaquant.
Une fois en possession d'un Silver Ticket falsifié, le cyberattaquant est en mesure d'exécuter du code en tant que système local ciblé. Il peut ensuite élever ses privilèges sur l'hôte local et commencer à se déplacer latéralement au sein de l'environnement compromis ou même créer un Golden Ticket. Cette technique permet d'accéder à d'autres services que celui initialement visé et constitue une stratégie visant à contourner les mesures de protection de la cybersécurité.
Prévention des attaques par Silver Ticket
Comment empêcher les identifiants d'être utilisés lors d'attaques par Silver Ticket ? Vous pouvez soit empêcher les cyberadversaires de récupérer les informations relatives au mot de passe, soit restreindre les privilèges qu'un faux ticket peut conférer. Pour empêcher le Kerberoasting de réussir, vous pouvez demander aux développeurs d'écrire un logiciel permettant de chiffrer les données stockées en mémoire. Vous pouvez également élaborer des méthodes qui effacent fréquemment les informations sensibles telles que les mots de passe enregistrés.
En mettant en œuvre un modèle de moindre privilège pour les utilisateurs, vous pouvez restreindre l'accès des administrateurs, réduire le nombre de comptes d'administrateurs de domaine, et ainsi éviter l'escalade des attaques par Silver Ticket menées par des cybercriminels. En vérifiant et en renforçant les comptes de service, vous pouvez vous assurer que les mots de passe sont plus difficiles à trouver et qu'ils ne sont pas partagés au sein d'un réseau. Enfin, veillez à valider le protocole Kerberos, en vous assurant que les tickets ont été émis par le distributeur de clés approprié.
Le protocole Kerberos reste l'un des protocoles de vérification les plus sûrs utilisant le chiffrement, les clés secrètes et l'autorisation d'un tiers. Prévenir et savoir réagir à une attaque par Silver Ticket Kerberos est impératif pour se protéger contre les cyberadversaires.
Atténuation des attaques par Silver Ticket et réponse à ces intrusions
Les attaques par Silver Ticket peuvent être dangereuses, car elles peuvent conduire à une compromission de la sécurité de votre domaine Active Directory. Si un cyberattaquant accède à Active Directory, celui-ci peut contourner la plupart des mesures de cybersécurité. La façon dont vous réagissez à une attaque par Silver Ticket peut déterminer l'ampleur des conséquences pour votre entreprise.
Suite à une attaque impliquant un Silver Ticket, il est impératif que votre équipe de cybersécurité réagisse rapidement. Cette réponse doit consister à poser plusieurs questions et à renforcer les mesures de sécurité en fonction des réponses obtenues :
- Comment un cyberattaquant a-t-il pu accéder initialement au réseau ? S'agit-il d'une attaque de phishing ou d'une autre compromission de la sécurité ?
- Quels sont les comptes ciblés par le cyberattaquant ? Les mesures de sécurité de ces comptes sont-elles conformes à celles des autres comptes de l'entreprise ?
- À quelles informations le cyberattaquant a-t-il eu accès ? Quelles sont les conséquences si ces informations se retrouvent entre les mains d'un cybercriminel ?
- Quels sont les actifs qui ont été compromis ? L'attaque s'est-elle limitée au service initialement visé ou le pirate a-t-il eu accès à Active Directory ?
Une fois que les réponses à ces questions sont connues, l'équipe de cybersécurité peut commencer à prendre des contre-mesures. Vous pouvez également utiliser les méthodes suivantes pour atténuer les dommages causés par une attaque par Silver Ticket :
- Activez la validation des certificats d'attributs privilégiés de Kerberos. Vous pourrez ainsi empêcher l'utilisation de Sliver Tickets et les détecter.
- Utilisez un service de génération de mots de passe pour créer des mots de passe uniques, aléatoires et forts. Utilisez par exemple un minimum de 30 caractères et modifiez fréquemment vos mots de passe.
- N'autorisez pas les utilisateurs à détenir des privilèges administratifs qui excèdent les limites de sécurité. Vous éviterez ainsi qu'une attaque par Silver Ticket ne prenne de l'ampleur en quittant le service initialement visé.
En prenant les mesures qui s'imposent, votre entreprise peut se protéger contre la plupart des attaques par Silver Ticket et réagir rapidement à celles que vous détectez.